- •1. Информационная безопасность
- •2. Информационная безопасность – дело межгосударственное
- •3. Информационная безопасность и геоинформационные системы
- •4. Информационная безопасность и интересы бизнеса
- •5. Информационная безопасность корпоративных (ведомственных) сетей связи
- •6. Каналы утечки информации
- •7. Классификация угроз безопасности информации
- •8. Угрозы, не связанные с деятельностью человека
- •9. Угрозы, связанные с деятельностью человека
- •10. Утечка акустической информации из-за применения подслушивающих устройств
- •11. Прослушивание и запись переговоров по телефонным линиям
- •12. Утечка информации за счет скрытного и дистанционного видеонаблюдения
- •13. Лазерный съем речевой информации
- •14. Основные понятия компьютерной безопасности
- •15. Лицензирование
- •16. Особенности безопасности компьютерных сетей
- •17. Нарушения безопасности сети
- •18. Взлом программного модуля
- •19. Меры защиты информационной безопасности
- •20. Меры защиты: четыре уровня защиты
- •21. Метод авторизации через интернет
- •22. Побитовое копирование cd
- •23. Признаки наличия язвимых мест в информационной безопасности
- •24. Пути утечки информации в вычислительных системах
- •25. Устойчивость к взлому
- •26. Устойчивость к прямому копированию
- •27. Законы ук рф, связанные с «Преступлениями в сфере компьютерной информации»
- •28. Утечка информации при использовании средств связи и различных проводных коммуникаций
- •29. Перехват разговоров по радиотелефонам и сотовой связи
- •30. Использование сети 220 в для передачи акустической информации из помещений.
- •31. Комплексный подход к обеспечению информационной безопасности
- •32. Организованные меры обеспечения защиты информации
- •33. Подбор персонала для обеспечения безопасности
- •34. Краткая характеристика источников информации
- •35. Безопасность оптоволоконных кабельных систем
- •36. Защита информации в оптическом диапазоне частот
- •37. Классификация современных биометрических средств защиты информации
- •38. Принципы построения системы информационной безопасности объекта
- •39. Определение границ управления информационной безопасностью объекта
- •40. Выбор контрмер, обеспечивающих информационную безопасность
- •41. Проверка системы защиты информации
- •42. Составление плана защиты информации
- •43. Реализация плана защиты информации (управление системой защиты информации)
- •44. Практические проблемы обеспечения информационной безопасности
- •45. Новые приборы виброакустической защиты информации
- •46. Персонал как основная опасность утраты конфиденциальной информации
- •47. Особенности приема и перевода сотрудников на работу, связанную с владением конфиденциальной информацией
- •48. Доступ персонала к конфиденциальным сведениям, документам и базам данных
- •49. Текущая работа с персоналом, владеющим конфиденциальной информацией
- •50. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •51. Защищенный документооборот
- •52. Технологические системы защиты и обработки конфиденциальных документов
- •53. Принципы учета конфиденциальных документов
- •54. Этапы подготовки конфиденциальных документов
- •55. Защита информации при проведении совещаний и переговоров
- •56. Защита информации при работе с посетителями
- •57. Защита информации в работе кадровой службы
- •58. Нормативно-методические документы по обеспечению безопасности информации
58. Нормативно-методические документы по обеспечению безопасности информации
Нормативно-методическое обеспечение системы защиты конфиденциальной информации предназначено для регламентации процессов обеспечения безопасности информации фирмы, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных.
Оно включает в себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы предотвращения пассивных и активных угроз ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц. Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах фирмы и определять правовой статус информационной безопасности фирмы. Указанные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность и тайну фирмы, и выполнять действия по ее защите.
Предмет и направления защиты должны найти отражение, например, в уставе фирмы, типовых формах контрактов различного рода и назначения, положениях о структурных подразделениях фирмы, должностных инструкциях сотрудников и других документах. Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации фирмы, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции сотрудников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и другие документы. Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную фирмой систему защиты документированной информации.
Можно выделить основные, на наш взгляд, регламентирующие документы, имеющие значение для любой фирмы и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы:
1. Перечень сведений предпринимательской фирмы, составляющих ее тайну или являющихся особо ценными. Содержание перечня обычно делится на несколько частей: общую методическую часть по способам составления перечня и правилам работы с ним, списки конфиденциальных, сведений по структурным подразделениям или управленческим функциям фирмы, список видов конфиденциальных документов и баз данных с указанием места их хранения, срока конфиденциальности и т.п.
2. Инструкция по обеспечению безопасности конфиденциальной информации фирмы, которая регламентирует:
• обязанности сотрудников фирмы при работе с конфиденциальной информацией;
• порядок доступа сотрудников к конфиденциальным документам и базам данных, оформление доступа;
• обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;
• порядок сохранения тайны фирмы при проведении совещаний, заседаний и переговоров;
• требования к помещениям для работы с конфиденциальной информацией;
• порядок охраны территории, здания, помещений, транспортных средств и персонала фирмы;
• пропускной режим помещений фирмы, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;
• порядок приема, учета и контроля деятельности посетителей;
• требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;
• организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств организационной техники; • ответственность сотрудников фирмы за разглашение конфиденциальной информации и утрату ценных документов.
3. Инструкция по обработке, хранению и движению конфиденциальных документов фирмы. Она регламентирует организацию работы сотрудников службы КД, менеджера (референта) по безопасности, управляющего делами фирмы, секретаря-референта первого руководителя.
Основные разделы Инструкции:
• структура защищенного документооборота фирмы;
• установление, изменение и снятие грифа конфиденциальности документов;
• порядок составления, учета, изготовления и издания конфиденциальных документов;
• копирование и размножение документов;
• прием и распределение поступивших документов;
• учет (регистрация) поступивших документов;
• отправка и рассылка документов;
• порядок передачи документов в процессе их рассмотрения и исполнения;
• контроль исполнения документов;
• порядок систематизации документов и формирования дел;
• порядок передачи документов и дел в архив фирмы, уничтожения документов и дел с истекшим сроком хранения;
• оперативное (текущее) и архивное хранение дел;
• проверка наличия документов, дел, баз данных и носителей конфиденциальной информации;
• правила хранения и использования бланков документов, печатей и штампов. В приложении к инструкции даются учетные и иные технологические формы, необходимые для организации обработки, хранения и движения документов.
Информационные (методические, советующие, обучающие) документы (правила, требования, указания, методики, памятки и т.п.), детализирующие процессы защиты информации, носят, вместе с тем, обязательный характер и устанавливают порядок работы с конфиденциальной информацией и документами отдельных категорий сотрудников фирмы или всех сотрудников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному сотруднику.
Прежде всего следует выделить Правила работы руководителей и исполнителей (специалистов) предпринимательской фирмы с конфиденциальными документами и базами данных.
Правила регламентируют:
• порядок распределения документов между руководителями и исполнителями в соответствии с действующей системой доступа персонала к конфиденциальной информации;
• рассмотрение документов руководителем и адресования их исполнителям;
• порядок передачи и получения документов исполнителями; • ознакомление исполнителей с содержанием документов и решением по ним руководителя;
• составление и изготовление документов исполнителями; • работу руководителя с подготовленными документами;
• порядок хранения документов, дел, носителей информации, чистых бланков документов и штампов на рабочем месте руководителя и исполнителя;
• проверку наличия конфиденциальных документов и баз данных на рабочем месте руководителя и исполнителя;
• порядок ведения телефонных переговоров, факсимильной переписки;
• особенности работы с ПЭВМ при обработке конфиденциальной информации, правила работы с копировальной техникой;
• порядок работы с конфиденциальными документами за пределами фирмы, в командировках, транспорте, порядок хранения документов;
• обеспечение сохранности документов и баз данных во внерабочее время.
Правила работы менеджера по безопасности (управляющего делами, референта, секретаря-референта) фирмы с конфиденциальными документами и базами данных регламентируют:
• порядок приема и отправки конфиденциальных документов;
• порядок учета (регистрации) поступивших документов;
• организацию доступа исполнителей к конфиденциальным документам;
• распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передача документов на исполнение;
• формирование и ведение справочно-информационного банка данных по конфиденциальным документам;
• контроль исполнения документов;
• учет и изготовление документов на пишущих устройствах;
• оформление и ведение номенклатуры дел фирмы;
• формирование и хранение (текущее и архивное) дел фирмы;
• порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;
• защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;
• защиту информации при работе с ПЭВМ;
• построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;
• ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.
Правила работы менеджера по персоналу предпринимательской фирмы регламентируют:
• обязанности менеджера в области защиты информации и работы с сотрудниками, обладающими секретами фирмы;
• организацию и документирование приема сотрудников на работу;
• обязательства сотрудников по сохранению тайны фирмы;
• контроль соблюдения персоналом правил работы с конфиденциальными документами и информацией;
• организацию и документирование переводов сотрудников на другие должности и изменения условий контрактов;
• порядок формирования и ведения личных дел сотрудников;
• порядок оформления и ведения трудовых книжек сотрудников;
• порядок ведения справочно-информационного банка данных по персоналу фирмы;
• правила и методы защиты персональных данных;
• организацию и документирование увольнений сотрудников;
• порядок оформления доступа сотрудников к конфиденциальным сведениям, документам и базам данных;
• принципы и направления формирования нормального психологического климата в коллективе, воспитания фирменной гордости персонала;
• психологический анализ сотрудников, тестирование, анкетирование, инструктирование и обучение персонала;
• правила хранения документов и работы с ними;
• организацию охраны помещения службы персонала в рабочее и нерабочее время;
• ответственность менеджера по персоналу за разглашение персональных данных о сотрудниках фирмы и другой конфиденциальной информации.
Информационные документы регламентируют также требования по единообразному выполнению персоналом определенных видов типовых действий.
Так, правила обеспечения безопасности секретов фирмы и конфиденциальной информации в экстремальных ситуациях включают в себя классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите секретов фирмы, информации и документов и регламентируют:
• порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;
• порядок (при необходимости — план) эвакуации и оказания помощи персоналу;
• порядок охраны имущества фирмы, оборудования и технических средств зашиты информации;
• порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т.п.);
• порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций. Рассмотренные нормативно-методические документы отражают действующую в фирме систему защиты информации и потому являются строго конфиденциальными. После их утверждения первым руководителем фирмы они доводятся в выборочном порядке до сведения всех сотрудников фирмы под роспись.
Одновременно могут быть внесены необходимые изменения и дополнения в должностные инструкции сотрудников. При внесении обязательных периодических изменений в систему обеспечения безопасности фирмы соответствующим образом своевременно корректируется нормативно-методическая документация.
Контроль за соблюдением сотрудниками фирмы изложенных в документах требований возлагается на службы: безопасности, конфиденциальной документации, персонала, а в некрупных фирмах — на менеджера по безопасности.
Следовательно, система защиты ценной, конфиденциальной информации предпринимательской фирмы реализуется в комплексе нормативно-методических документов, которые детализируют и доводят ее в виде конкретных рабочих требований до каждого работника фирмы. Знание работниками своих обязанностей по защите секретов фирмы является обязательным условием эффективности функционирования системы защиты и определенной гарантией сохранности собственной информации фирмы.